Escalada de privilegios: obtener CSR de Kubernetes con credenciales de arranque vulneradas

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Para aumentar los privilegios, un agente potencialmente malicioso ha consultado una solicitud de firma de certificado (CSR), con el comando kubectl, utilizando credenciales de arranque vulneradas.

A continuación, se muestra un ejemplo de un comando que detecta esta regla:

kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre la Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials detección siguiendo las instrucciones de la sección Revisar las detecciones. Se abre el panel de detalles del resultado en la pestaña Resumen.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Correo principal: la cuenta que ha hecho la llamada.
     • Nombre del método: el método al que se ha llamado.
   • En Recurso afectado:
     • Nombre visible del recurso: el clúster de Kubernetes en el que se ha producido la acción.
   • Enlaces relacionados, especialmente los siguientes campos:
     • URI de Cloud Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.

Paso 2: Consulta los registros

Si el nombre del método, que has anotado en el campo Nombre del método de los detalles del hallazgo, es un método GET, haz lo siguiente:

1. En la pestaña Resumen de los detalles de la detección en la consola de Google Cloud , vaya a Explorador de registros haciendo clic en el enlace del campo URI de Cloud Logging.
2. Compruebe el valor del campo protoPayload.resourceName para identificar la solicitud de firma de certificado específica.

Paso 3: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del framework ATT&CK de MITRE para este tipo de hallazgo: Escalada de privilegios.
2. Si el CSR específico está disponible en la entrada del registro, investiga la confidencialidad del certificado y si la acción estaba justificada.
3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.